CVE-2026-56120

Nome do Software Vulnerável e Versões Afetadas OpenRemote versões anteriores a 1.25.0

Description Uma referência direta a objeto insegura (IDOR) existe no endpoint de exclusão de alarmes em massa. Isso ocorre porque a função removeAlarms() em AlarmResourceImpl.java não realiza a validação de escopo de realm em sua consulta JPA. Consequentemente, usuários autenticados com permissões de escrita de alarmes podem excluir registros de alarmes pertencentes a outros locatários (tenants) ao fornecer IDs de alarmes sequenciais e arbitrários.

Recommendations Atualize para a versão 1.25.0 ou posterior.